Сертификат открытого ключа электронной подписи

Статья на тему: "Сертификат открытого ключа электронной подписи" от профессионалов для людей. Обязательно дочитайте до конца.

Сертификат открытого ключа электронной подписи

Электронная подпись состоит из закрытого ключа и открытого ключа (сертификат .cer)

Удостоверяющие центры выдают ЭП на ключевых носителях — РуТокен/ЕТокен, флешкарта.
Если электронная подпись Ваша организация хранит на обычной флешкарте, то в корне носителя должен быть файл с расширением .cer — сертификат безопасности. Это открытая часть ключа — открытый ключ (сертификат ключа подписи).
Если Вашей организацией используется защищенный ключевой носитель РуТокен/ЕТокен, то физически увидеть сертификат невозможно. Для этого необходимо открытый ключ экспортировать штатным функционалом системы криптографии (криптопровайдера).

Экспорт открытого ключа возможен в том случае, если ЭП уже установлена на рабочем месте пользователя. Если ЭП на компьютере пользователя еще не установлена, ее необходимо установить, воспользовавшись инструкциями, которые выдал Удостоверяющий центр. В случае возникновения трудностей с установкой, необходимо обратиться в УЦ, где была приобретена ЭП.

Экспортировать открытый ключ в файл на рабочем месте пользователя можно двумя способами:

1). Из Свойств обозревателя.

Пуск -> Панель управления -> Свойства обозревателя
(или запустите браузер Internet Explorer -> Сервис -> Свойства обозревателя)

Выберите вкладку Содержание, кнопка «Сертификаты», вкладка «Личные».
В списке сертификатов найдите нужный и отметьте его. Нажмите кнопку «Экспорт».

Запустится «Мастер импорта сертификатов».

Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.

— Файлы Х.509 (.CER) в кодировке DER

— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.


В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.

2). Из КриптоПро CSP.

Пуск -> Панель управления -> КриптоПро CSP

Выберите вкладку «Сервис», кнопка «Посмотреть сертификаты в контейнере».

В открывшемся окне по кнопке «Обзор» выберите ключевой контейнер, сертификаты которого вы хотите посмотреть.

В небольшом окне выбора контейнера выберите требуемый считыватеть (РуТокен, ЕТокен, дисковод) и контейнер закрытого ключа на нем. ОК.

В случае наличия файла открытого ключа в контейнере закрытого ключа, система отобразит окно с информации о нем. Нажмите кнопку «Свойства».

В открывшемся окне свойств сертификата перейти на вкладку «Состав» и нажать кнопку «Копировать в файл».

Запустится «Мастер импорта сертификатов».

Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.

— Файлы Х.509 (.CER) в кодировке DER

— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.


В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.

Из чего состоит сертификат электронной подписи?

Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит: -закрытый ключ — для генерации электронных подписей; -открытый ключ — для проверки подлинности подписи получателем; -сведения о владельце — для проверки получателем информации об авторе документа.

Для того чтобы начать пользоваться электронной подписью (сдавать отчетность, участвовать в электронных торгах, подписывать, зашифровывать и расшифровывать документы), необходимо получить сертификат электронной подписи в одном из удостоверяющих центров.

Функция удостоверяющего центра в этом случае заключается в том, чтобы подтвердить подлинность сведений о владельце и выдать сертификат нужного пользователю тарифного плана. Сертификат электронной подписи подтверждает принадлежность электронной подписи владельцу и содержит:

  • закрытый ключ — для генерации электронных подписей;
  • открытый ключ — для проверки подлинности подписи получателем;
  • сведения о владельце — для проверки получателем информации об авторе документа.

Для соблюдения правил информационной безопасности срок действия сертификата ограничен. Сертификат выдается владельцу на год, по истечении которого его необходимо продлевать.

Кроме того, при угрозе компрометации закрытого ключа (например, если владелец потерял или оставил без присмотра ключевой носитель), при утере пароля или смене реквизитов сертификат отзывается и взамен выдается новый.

Удостоверяющий центр СКБ Контур — единственный в России центр, который выдает сертификаты электронной подписи на 15 месяцев. А заказав услугу «Сопровождение сертификата», владелец может бесплатно перевыпускать сертификат в течение срока его действия в случае компрометации или смены требований электронной площадки к виду электронной подписи.

УЦ СКБ Контур выпускает все виды электронных подписей.

Сертификат ключа проверки электронной подписи

В дополнение к традиционной электронной подписи удостоверяющие центры также выдают сертификат ключа проверки, с помощью которого можно установить подлинность выданной ЭЦП. В каком виде выдается сертификат ключа проверки ЭП, какая информация на нем содержится? Можно ли полноценно пользоваться электронной подписью при его отсутствии?

Читайте в статье

Что представляет собой такой сертификат?

Сертификат ключа проверки электронной подписи является цифровым или бумажным документом, содержащем в себе следующий набор данных:

  • открытый ключ ЭЦП;
  • краткие сведения о владельце электронного ключа(персональные данные, за которым и закрепляется набор мета-данных);
  • сведения об удостоверяющем центре, который и выдал ключ;
  • дата регистрации ЭЦП и срок её действия (конечная дата, до которой подпись признается как действующая);
  • СНИЛС;
  • общедоступные данные компании (если электронный ключ оформлялся именно на юридическое лицо).

Также в него могут добавлять дополнительные данные о юридическом лице. В документе, выданном в бумажном виде, указывается та же информация, но также ставится подпись и печать центра, выдавшего ключ.

Для чего необходим сертификат?

Полноценно пользоваться электронной подписью можно и без сертификата проверки ключа.

Он может потребоваться разве что для проверки ЭЦП (подтверждение того, что она является легитимной, то есть, зарегистрированной в Минкомсвязи, как того и требуют законодательные нормы). Реже он используется для шифрования файлов, которые впоследствии сможет открыть только владелец ЭЦП (для обеспечения конфиденциальности пересылаемых данных). Естественно, это работает только при наличии цифровой, а не бумажной копии документа.

Существует ещё понятие децентрализованного сертификата проверки ключа. Его создают в дополнение к ЭЦП, которое не регистрируется в Минокомсвязи. Ведь создать электронный ключ можно и средствами Windows – её будет достаточно для шифрования данных текстовых файлов и обеспечения той же конфиденциальности. Но такой сертификат не имеет юридической силы, чаще всего его используют только во внутреннем электронном документообороте компании, когда доступ ко внутренней юриспруденции открывается далеко не всем сотрудникам.

Читайте так же:  Минимальный размер пенсии в россии

Квалифицированный сертификат проверки подписи

Квалифицированный сертификат ключа проверки ЭП также имеет свой срок действия – 12 месяцев. По истечению данного периода он аннулируется, то есть, теряет свою юридическую силу. Эти условия актуальный и к неквалифицированным вариациям ключа.

Установка сертификата

Как установить сертификат ключа проверки электронной подписи? Для этого обязательно потребуется установленная и активированная копия программного обеспечения «КриптоПро CSP». Скачать инсталлятор, приобрести лицензию, а также получить детальную инструкцию по работе с данным приложением можно на сайте cryptopro.ru (это официальный сайт разработчиков ПО). На текущий момент только данная программа сертифицирована для работы с российскими электронными подписями.

  • зайти в «Панель управления»;
  • из списка выбрать «КриптоПро CSP» и двойным кликом мышки запустить программу;
  • в появившемся окне – кликнуть «Сервис»;
  • кликнуть на «Установить личный сертификат»;
  • выбрать необходимый файл, который и нужно установить в операционную систему Windows (выбранный документ должен иметь расширение X.509 или BASE64);
  • выбрать «Далее», затем – отметить пункт «Найти контейнер автоматически»;
  • на этом этапе в USB-порт необходимо вставить рутокен, на который и записан ЭЦП;
  • из списка в нижней части окна выбрать устройство, где записан ЭЦП (если нужно – предварительно устанавливается драйвер);
  • выбрать «Далее», отметить пункт «Установить сертификат в контейнер»;
  • выбрать «Далее», после чего будет выполнена установка, по заключению которой появится сервисное сообщение с указанием деталей установленного файла.

Остается только дождаться пока будет установлен квалифицированный сертификат проверки электронной подписи. После – рекомендуется перезагрузить компьютер. По окончанию установки на экран будет выведено сервисное сообщение с указанием данных установленного файла. Следует тщательно проверить, чтобы они соответствовали действительной информации из ЭП. В противном случае – подписывать документы не получится (при попытке это сделать будет выдана ошибка).

В «КриптоПро CSP 5» уже предусмотрена функция автоматического обнаружения сертификата и его последующей интеграции в среду операционной системы. Правда, работает она только при использовании рутокена версии 2.0, с усиленной квалифицированной подписью.

Для корректной работы с ЭЦП в Windows также может потребоваться установка коренных сертификатов. Это файлы, которые подтверждают аккредитацию удостоверяющего центра, который и зарегистрировал электронную подпись. Их установка производится через свойства установленного сертификата проверки ЭП. Загрузить их же можно в большинстве случаев на официальном сайте удостоверяющего центра (или их выдают на CD-носителе вместе с USB-токеном).

Проверка ключа

Для проведения проверки необходимо:

  • перейти по вышеуказанной ссылке;
  • загрузить сертификат проверки подписи в специальной форме (для загрузки доступны файлы с расширением X.509 или BASE64, графические и простые текстовые документы не поддерживаются);
  • ввести сгенерированный код (для подтверждения того, что запрос – не автоматический);
  • дождаться генерации отчета (можно загрузить в формате текстового файла или PDF-документа).

В полученном отчете будет указано до какого периода действует ЭЦП, а также наименование организации, которая его выдала, но только если это был аккредитованный удостоверяющий центр.

Данный инструментарий не подойдет для тех документов, которые были выданы не зарегистрированными в Минкомсвязи организациями. К таковым чаще всего относятся региональные центры, занимающиеся проверкой данных участников электронных торгов.

Итого, зачем нужен сертификат проверки электронной подписи? Для использования ЭП в условиях программной среды Windows. А установив его в операционную систему можно будет буквально в пару кликов мыши подписывать любые документы или файлы (при наличии установленной КриптоПро CSP). Также его наличие позволяет проводить проверку валидности ключа ЭП на портале Госуслуг.

Получение сертификата ключа проверки электронной подписи

Получение сертификата ключа проверки электронной подписи необходимо для осуществления электронного документооборота с физическими и юрлицами, а также с фискальными и проверяющими учреждениями. Алгоритм процедуры получения ключа проверки ЭЦП рассмотрим в материале.

Как получить сертификат проверки ЭЦП

Электронный обмен документами между компаниями и госструктурами набирает все больший оборот, поскольку значительно сокращает время передачи документации. Для придания юридической значимости передаваемой информации стороны электронного документооборота (ЭДО) подписывают файлы своими электронно-цифровыми подписями (ЭЦП). Документ, заверенный ЭЦП, приравнен к бумажному носителю, завизированному уполномоченным лицом. Регламентирует процедуру получения и использования ЭЦП закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ, который предусматривает следующие виды ЭЦП: простую и усиленную.

Алгоритм получения простой ЭЦП см. в материале «Как сделать простую электронную подпись?».

Усиленная подпись, в свою очередь, может быть неквалифицированной и квалифицированной.

Чтобы начать пользоваться усиленной ЭЦП, нужно получить сертификат электронной подписи (точнее — ключа проверки ЭЦП) в удостоверяющем центре (УЦ), аккредитованном Минкомсвязи РФ. Как правило, сертификат записывается на специальный USB-накопитель, который является его хранилищем. Однако может выдаваться и на бумажном носителе.

Для получения сертификата физлицам необходимо предоставить в УЦ пакет документов:

  1. Копию паспорта владельца ЭЦП.
  2. Копии СНИЛС и ИНН.
  3. Заявление о получении сертификата ключа проверки ЭЦП.

Юрлица и ИП представляют:

  1. Свидетельство ИНН.
  2. Выписку ЕГРЮЛ (ЕГРИП).
  3. Документ, подтверждающий право лица действовать от имени хозсубъекта (приказ о назначении директора на должность, доверенность на право подписи юридически значимых документов).
  4. Если сертификат получает уполномоченный представитель, то ему необходимо представить доверенность на право получения сертификата ЭЦП, заверенную печатью предприятия и подписями руководителя и владельца сертификата (если это разные лица).
  5. Иные документы (список следует уточнить в УЦ).

УЦ также выдают и неквалифицированные сертификаты, которые используются для подписания документов при участии в электронных торгах.

Получение ЭЦП для электронного взаимодействия с ФНС

Для отправки электронных документов в ФНС налогоплательщику — юрлицу или ИП — следует использовать усиленную квалифицированную ЭЦП. Алгоритм получения сертификата ключа проверки описан в предыдущем разделе.

Для физлиц с 01.07.2015 реализована возможность обмена электронными документами с ФНС через личный кабинет налогоплательщика. При этом все файлы, направляемые физлицом, должны быть заверены неквалифицированной ЭЦП (п.2 ст.11.2 НК РФ). Сертификат неквалифицированной подписи можно бесплатно установить из личного кабинета в разделе «Профиль» по ссылке «Получение сертификата ключа проверки электронной подписи». Сертификат действует 1 год, по истечении которого нужно сформировать новый документ по описанной выше схеме.

Читайте так же:  Тарификационный список педагогических работников

Возможность ЭДО через личный кабинет не распространяется на ИП, нотариусов и адвокатов, занимающихся частной практикой.

Получение сертификата ключа проверки ЭЦП осуществляется в аккредитованном удостоверяющем центре. Физлица для обмена электронными документами с ФНС могут получить сертификат в личном кабинете налогоплательщика.

Сертификат открытого ключа электронной подписи

Сертификат открытого ключа электронной подписи необходим для полноценного функционирования всей системы ЭЦП. Здесь особенно важно обеспечить полный доступ получателя ко всей достоверной копии именно открытого ключа отправителя, а также возможность проверить, что предоставленная копия открытого ключа имеет только одного владельца. Для качественного выполнения всех правил, обычно создаются некоторые специальные защищенные справочники ключей для сертификации, которые проводятся специальными учреждениями, то есть центрами сертификации ключей.

Открытый ключ созданной электронной цифровой подписи — это новые возможности для бизнесменов, предпочитающих правильно организовывать сделки. Специализированные центры по сертификации ключей в каждом случае тщательно проверяют данные владельца выданного открытого ключа, поэтому выдают некоторые защищенные электронные документы стандартного образца — сертификаты открытых ключей, где есть открытый ключ вместе с информацией о владельце этого ключа.

Закрытый и открытый ключ

Закрытый и открытый ключи электронной цифровой подписи всегда подписываются специальной электронной цифровой подписью официального центра сертификации ключей. В результате получается, что для полноценной работы необходимо только получить по довольно достоверным каналам всего один электронный документ, то есть сертификат самого центра сертификации ключей. Это требуется, чтобы проверить достоверность всех сертификатов, выданных центром сертификации ключей.

Генерация секретной открытой части ключа ЭЦП — это только начальная процедура, выполняемая пользователем перед проведением сертификации открытого ключа. Полную генерацию обычно выполняет программное обеспечение — специальный генератор ключей, предоставляющийся государственным центром сертификации ключей.

Сертификация ключей

Многих бизнесменов интересует популярный вопрос, сертификат открытого ключа электронной подписи как получить? Здесь есть возможность обратиться в специализированную компанию, которая расскажет все нюансы проведения такой услуги. Для качественного проведения сертификации открытого и закрытого ключа ЭЦП в центр сертификации необходимо передать следующие документы:

  • Электронный документ — заявка на проведение сертификации открытого ключа, содержащего электронную карточку с точными реквизитами владельца ключа. Заявку при этом необходимо генерировать с помощью программы генератора ключей.
  • Пакет документов, удостоверяющих личность самого владельца ключа.

Открытая часть ЭЦП оформляется по всем правилам, это необходимо для правильной работы вашей электронной подписи при подписании многочисленных электронных документов. Основная сфера использования такого типа подписи заключается в подсчете корпоративных систем, работают вместе с сертификатом PKI. Такими системами могут быть электронный документооборот в определенной компании, управленческие системы или электронная почта для сотрудников.

Когда организация использует европейские алгоритмы, тогда при работе с такими мобильными платформами здесь не должно появляться каких-либо трудностей, потому как большинство мобильных ОС оснащены средствами криптографии и необходимым функционалом.

Электронная подпись

Электронное согласование документации невозможно без применения электронной подписи (ЭП).

Для согласования документов в Pilot-ICE на компьютерах пользователей должен быть установлен сертификат ключа ЭП.

Сертификат ключа электронной подписи

Сертификат ключа проверки электронной подписи – электронный документ, выданный удостоверяющим центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Сертификат содержит в себе открытый ключ, сведения о владельце ЭП, а также о том удостоверяющем центре, который оформлял и выдавал ключ. Таким образом, сертификат ключа можно сравнить с неким электронным удостоверением участника системы документооборота. Он должен содержать следующую информацию:

  • даты начала и окончания срока его действия;
  • ФИО – для физических лиц, наименование и место нахождения — для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
  • ключ проверки электронной подписи;
  • наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
  • наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
  • иная информация, предусмотренная частью 2 статьи 17 ФЗ №63, – для квалифицированного сертификата.

По истечении срока действия сертификата ключа подписи, обозначенного удостоверяющим центром, он становится недействительным. Для того чтобы продолжить работать в системе управления инженерными данными, следует продлить сертификат.

При любом изменении реквизитов владельца ключа (смена руководителя организации, названия и т. д.) требуется отозвать действующий сертификат и получить новый.

Для обеспечения электронного согласования документации внутри организации можно установить центр сертификации предприятия в операционной системе Windows Server.

Чтобы ЭП подпись можно было использовать вне предприятия, например, для согласования электронной проектной документации в государственных организациях, удобнее всего обратиться к услугам существующих удостоверяющих центров и приобрести ЭП у них. Единый государственный реестр удостоверяющих центров опубликован на сайте Минкомсвязи РФ и на Едином портале ЭЦП в РФ.

[2]

Самостоятельное создание электронной подписи

Попробовать возможности применения электронной подписи в Pilot-ICE можно и без обращения в удостоверяющий центр. ЭП можно самостоятельно сформировать на компьютере пользователя. Один из самых простых способов — создание тестового сертификата с помощью бесплатной утилиты Make Certificate:

  • cкачайте MakeCertificate.zip на компьютер;
  • распакуйте архив и запустите установку setup.exe;
  • после завершения установки запустите программу Make Certificate;
  • в открывшемся окне заполните необходимые поля и нажмите Установить;
  • в окне предупреждения системы безопасности нажмите Да;
  • тестовый сертификат установлен и может быть использован для подписывания документов в Pilot-ICE .

Сертификат, полученный в результате использования утилиты Make Certificate можно использовать только для пробы, т.к. он не пройдет проверку подлинности вне пользовательского компьютера.

Совместимость Pilot-ICE сертификатами КриптоПро

Для работы с электронными подписями Pilot-ICE , как и другое ПО, использует криптопровайдеры, встроенные в Windows, обращаясь к интерфейсу CryptoAPI, который доступен через .NET Framework (3.5 и выше). Поэтому разработчики криптопровайдеров, снабдившие свой продукт API на платформе .NET Framework, расширяют совместимость своего продукта.

Например, КриптоПро .NET — программный продукт, позволяющий использовать средство криптографической защиты информации КриптоПро CSP на платформе .NET Framework. КриптоПро .NET обеспечивает возможность применения сертификатов, созданных в КриптоПро, для подписывания документов в системе Pilot-ICE .

Читайте так же:  Соглашение о разделе имущества супругов

Подробное руководство по установке тестовых ЭП читайте в статье: «Электронная подпись за 5 минут.»

Отсутствие в списке выбора созданного в КриптоПро тестового сертификата означает, что:

  • не установлено необходимое ПО — криптопровайдер или плагин браузера;
  • не установлены или неправильно установлены корневой и промежуточный сертификаты удостоверяющего центра КриптоПро

Если тестовый сертификат присутствует в списке, но при подписании документа возникает ошибка совместимости, значит не установлен КриптоПро .NET

Сертификат открытого ключа электронной подписи

Электронная подпись состоит из закрытого ключа и открытого ключа (сертификат .cer)

Удостоверяющие центры выдают ЭП на ключевых носителях — РуТокен/ЕТокен, флешкарта.
Если электронная подпись Ваша организация хранит на обычной флешкарте, то в корне носителя должен быть файл с расширением .cer — сертификат безопасности. Это открытая часть ключа — открытый ключ (сертификат ключа подписи).
Если Вашей организацией используется защищенный ключевой носитель РуТокен/ЕТокен, то физически увидеть сертификат невозможно. Для этого необходимо открытый ключ экспортировать штатным функционалом системы криптографии (криптопровайдера).

Экспорт открытого ключа возможен в том случае, если ЭП уже установлена на рабочем месте пользователя. Если ЭП на компьютере пользователя еще не установлена, ее необходимо установить, воспользовавшись инструкциями, которые выдал Удостоверяющий центр. В случае возникновения трудностей с установкой, необходимо обратиться в УЦ, где была приобретена ЭП.

Экспортировать открытый ключ в файл на рабочем месте пользователя можно двумя способами:

1). Из Свойств обозревателя.

Пуск -> Панель управления -> Свойства обозревателя
(или запустите браузер Internet Explorer -> Сервис -> Свойства обозревателя)

Видео (кликните для воспроизведения).

Выберите вкладку Содержание, кнопка «Сертификаты», вкладка «Личные».
В списке сертификатов найдите нужный и отметьте его. Нажмите кнопку «Экспорт».

Запустится «Мастер импорта сертификатов».

Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.

— Файлы Х.509 (.CER) в кодировке DER

— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.


В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.

2). Из КриптоПро CSP.

Пуск -> Панель управления -> КриптоПро CSP

Выберите вкладку «Сервис», кнопка «Посмотреть сертификаты в контейнере».

В открывшемся окне по кнопке «Обзор» выберите ключевой контейнер, сертификаты которого вы хотите посмотреть.

В небольшом окне выбора контейнера выберите требуемый считыватеть (РуТокен, ЕТокен, дисковод) и контейнер закрытого ключа на нем. ОК.

В случае наличия файла открытого ключа в контейнере закрытого ключа, система отобразит окно с информации о нем. Нажмите кнопку «Свойства».

В открывшемся окне свойств сертификата перейти на вкладку «Состав» и нажать кнопку «Копировать в файл».

Запустится «Мастер импорта сертификатов».

Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.

— Файлы Х.509 (.CER) в кодировке DER

— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.


В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.

Как получить и поставить электронную подпись

Информация, которая передается через Сеть, является электронным сообщением. Когда ее записывают на электронный носитель, она становится электронным документом. Подпись под таким документом называется электронной подписью, и она позволяет определить лицо, которому принадлежит.

Чтобы поставить электронную подпись (ЭП), нужно владеть ключом ЭП. Ключ ЭП называется закрытым ключом, а ключ проверки ЭП — открытым. Для создания ЭП используется специальный инструмент — средство ЭП.

Виды электронной подписи

Различают два вида ЭП:

  1. Простая электронная подпись (позволяет лишь установить авторство документа, требует наличия ключа ЭП).
  2. Усиленная электронная подпись (формируется с помощью специальных криптографических алгоритмов). Может быть неквалифицированной и квалифицированной.

Простая ЭП используется в случаях, когда на аналогичном бумажном документе не требуется наличие печати. Такая подпись может только подтвердить личность подписанта.

Для усиленной неквалифицированной ЭП характерен ряд принципиальных качеств:

1) получается в результате криптографического преобразования информации с использованием ключа ЭП;

2) благодаря средству ЭП и ключу проверки помогает определить авторство электронного документа и установить изменения в документе после его подписания;

3) создается с использованием средств ЭП.

Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.

О каких двух дополнительных признаках идет речь?

1) ключ проверки ЭП должен содержаться в квалифицированном сертификате ключа проверки ЭП;

2) средство ЭП, которое используется для создания и проверки, должно получить подтверждение соответствия требованиям, предусмотренным законом и ФСБ для средств ЭП.

Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.

Сертификат ключа проверки электронной подписи

В Федеральном законе от 06.04.2011 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.

Квалифицированный сертификат включает следующую информацию:

1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;

2) для физлица: ФИО и СНИЛС владельца сертификата;

для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;

3) ключ проверки ЭП;

4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;

6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;

7) ограничения использования квалифицированного сертификата.

Нужна электронная подпись? Подберите сертификат под вашу задачу

[3]

Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2011 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться. Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами. Этот флаг не поднимается в квалифицированных сертификатах клиентов УЦ. А вот в квалифицированном сертификате, который выдан УЦ Минкомсвязи, этот флаг поднимается, что позволяет УЦ создавать свою квалифицированную ЭП в сертификатах своих клиентов .

Читайте так же:  Работа по гражданско-правовому договору

Аккредитованный удостоверяющий центр

Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).

При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.

Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.

Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.

Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.

Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.

Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.

Как подписать документ электронной подписью

Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?

  • Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
  • Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.

Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода). Однако у этого варианта есть несколько особенностей. Во-первых, алгоритм подписания в разных версиях Word отличается. Во-вторых, если создать подпись в одной версии программы, а проверять в другой, то результат может оказаться некорректным.

Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.

Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.

Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами. При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только отсоединенную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными ЭП.

Кратко об электронной подписи, ключах и сертификатах

Не секрет, что не всякий администратор всегда чётко представляет глубинную суть выполняемых им действий по настройке чего-либо. Этим я не хочу никого обидеть, а всего лишь констатирую факт. Кто-то талантливый самоучка без знания теоретической основы, кто-то намеренно отказался от теории в пользу практики. И уж тем более, не всегда пользователь понимает суть технологий, которыми он пользуется.

Именно так ситуация обстоит с электронной подписью, её ключами и сертификатами. Те, для кого знакомы термины «асимметричное шифрование» и «инфраструктура закрытых ключей», вряд ли узнают из данной статьи много нового. Она не будет содержать математических выкладок и оценок сложности вычислимости ключей, но общие принципы и понятия будут интересны и полезны неискушенным в это теме.

Кратко и по сути

Электронная цифровая подпись в своем более-менее стандартном понимании представляет собой некоторый объем данных, связанный с другими данными, позволяющий установить авторство и целостность последних. Если сказать проще, она позволяет установить, кто подписал документ, и изменялся ли документ после подписания. Под документом в данном случае понимаются любые цифровые данные.

Механизм подписания по сути своей является шифрованием (точнее, криптопреобразованием) по определенному алгоритму на определенном ключе, причём любая уникальная комбинация исходных данных и ключа дает на выходе уникальный массив данных (подпись). Проверка подписи при этом представляет собой повторное её вычисление и сравнение с имеющейся на стороне проверяющего. Таким образом, если подпись неверна, то либо используется неверный ключ, либо документ не тот. Если с последним случаем всё понятно, то первый помогает нам определить авторство документа только при условии, что ключ однозначно принадлежит подписывающему и только ему.

Теперь мы вплотную подобрались к важнейшему вопросу: как обеспечить проверку авторства документа, не компрометируя при этом ключ.

Немного истории

Исторически первым появилось симметричное шифрование. Оно представляет собой преобразование исходной информации по определенным алгоритмам с определенным ключом. Алгоритм известен и общедоступен, и, в идеальном случае, получение исходных данных из криптограммы без ключа невозможно. Для обратного преобразования используется тот же ключ. Получается, что стороны должны обладать общим секретом для того, чтобы обмениваться данными (в нашем случае – подписанными данными). В случае, когда имеем только 2 участника обмена, сложностей не возникает, но как только количество участников возрастает, гарантированно определить авторство уже невозможно. Кроме того, если ключ передан не из рук в руки, то необходим надежный посредник.

Получаем, что для достижения наших целей для каждой пары участников придётся заводить свой ключ. Для 3 участников – 3 ключа, для 4 – 6, для 5 – 10 и так далее в арифметической прогрессии. Как в такой ситуации не запутаться – вопрос весьма нетривиальный.

Читайте так же:  Повышение зарплаты бюджетникам

Данная задача весьма облегчилась с появлением асимметричного шифрования (совсем недавно – теория начала разрабатываться в 70-х годах прошлого века). Оно основано на следующем факте: некоторые математические операции являются односторонними, то есть по известному x f(x) вычислить можно, а вот наоборот – нельзя. Зашифровываются данные одним ключом, а расшифровываются другим. Ключи однозначно связанны между собой, но без дополнительной информации не позволяют получить один из другого. Один ключ называют открытым; он может свободно передаваться по открытым каналам, так как позволяет выполнить только половину криптопреобразования (либо только расшифровать, либо только зашифровать). Второй – закрытым; он хранится в секрете владельцем.

Таким образом, любой участник обмена должен иметь всего лишь 2 ключа. Получаем выгоду в количестве ключей уже начиная с 6 участников. Кроме того, закрытый ключ знает только его владелец. Значит, можно сказать, что информация, зашифрованная с использованием указанного ключа, могла быть зашифрована только им.

И снова к теории

Обратимся непосредственно к механизму ЭЦП. Наибольшее распространение получили алгоритмы с использованием открытого ключа.

Как уже говорилось выше, ЭЦП решает 2 задачи: определение авторства и неизменности документа. Существует множество алгоритмов, но все они направлены на их решение и имеют общую суть.

Предположим, что мы имеем сообщение M, открытый ключ K, закрытый ключ k и функцию f() с обратной ей F().

Рассмотрим механизм подписи.

Так как подпись должна иметь стандартные размеры, а текст может быть подписан любой, при создании подписи используют так называемую функцию хеширования, значение которой для любого уникального массива данных так же уникально и однозначно, но имеет стандартный размер и не позволяет восстановить исходные данные. Обозначим эту функцию H().

Подписание происходит следующим образом: для данных вычисляется значение хеш-функции

затем это значение шифруется с помощью закрытого ключа

Значение s и будет являться ЭЦП для сообщения M.

Для проверки подписи производятся следующие вычисления: вычисляется значение хеша для сообщения

после чего с помощью открытого ключа расшифровывается значение s

Если h’ = h, то подпись верна. В противном случае возможны 2 варианта: использовался неверный открытый ключ (то есть, авторство не определено) или сообщение было искажено.

То же самое, но в картинках:

Как мы видим, функции подписи, определенные в начале, выполняются. Но тут возникает следующий вопрос, кто гарантирует, что открытый ключ не был подменен при распространении (для тех, кто понимает, атака Man In The Middle) и мы общаемся с тем кем хотим, а не со злоумышленником, выдающим себя за другого? Ответ напрашивается сам – нам нужен некий авторитет, гарантирующий принадлежность ключей, и механизм их распространения. Данное решение было реализовано в виде инфраструктуры открытых ключей и сертификатов удостоверяющих центров. Тогда с сообщением передается не только подпись, но и сертификат, удостоверяющий её.

Инфраструктура открытых ключей (PKI)

Инфраструктура открытых ключей призвана обеспечить доверительные отношения между участниками взаимодействия.

Участниками и основными элементами PKI являются удостоверяющие центры (УЦ) и конечные пользователи. Никто из конечных пользователей не доверяет друг другу, но каждый из них доверяет УЦ. Каждый пользователь имеет закрытый ключ, который он хранит в секрете, и открытый, который заверяется УЦ с помощью сертификата. Сертификат представляет собой файл, содержащий открытый ключ пользователя, информацию о нем и подпись УЦ. Схема взаимодействия пользователей выглядит следующим образом:

При этом Иван получает сертификат открытого ключа Семена, заверенный УЦ, а Семен – Ивана. Без этого их доверительное взаимодействие невозможно.

Для обеспечения взаимного доверия между пользователями разных УЦ последние объединяются в иерархическую структуру

Кроме того, УЦ1 и УЦ2 могут организовать взаимное доверие и обойтись без корневого УЦ.

Кроме сертификатов открытых ключей пользователей УЦ может выпускать списки отзыва тех сертификатов, которые удостоверяют скомпрометированные по тем или иным причинам ключи. Этим самым обеспечивается оперативное реагирование на события, влияющие на надежность и безопасность обмена данными.

Что со всем этим делать

Если вдруг у Вас появилась потребность в использовании ЭЦП (предположим, что Вы пользователь и не отвечаете за развертывание инфраструктуры, и, да, она уже развернута), Вам необходимо произвести следующие шаги:

  1. Самому посредством специального ПО или через запрос к УЦ заполучить пару ключей (зависит от конкретной реализации).
  2. Хранить как зеницу ока закрытый ключ (где – опять же зависит от реализации).
  3. Если этого не было сделано на шаге 1, запросить сертификат открытого ключа у УЦ. Данный сертификат не является секретной информацией и может свободно распространяться.
  4. Если вдруг сохранить закрытый ключ не удалось, уведомить в срочном порядке УЦ, дабы он мог как можно скорее включить сертификат Вашего открытого ключа в список отзыва.

[1]

Вместо заключения

Видео (кликните для воспроизведения).

Конечно, приведенная информация далеко не полная, но, надеюсь, позволит разобраться в основах функционирования механизма ЭЦП и инфраструктуры открытых ключей. Если кому-то этого мало – Интернет безграничен, и на его просторах можно добыть практически любую информацию. Покрайней мере, теперь Вы знаете, что искать.

Источники


  1. Лазарев, В. В. История и методология юридической науки. Университетский курс для магистрантов юридических вузов / В.В. Лазарев, С.В. Липень. — М.: Норма, Инфра-М, 2016. — 496 c.

  2. Шамин, А. Н. История биологической химии. Истоки науки / А.Н. Шамин. — М.: КомКнига, 2013. — 392 c.

  3. Ведерников, А. Н. Конституционное право личности на судебную защиту в законодательстве и судебной практике России / А.Н. Ведерников. — М.: Юнити-Дана, Закон и право, 2017. — 152 c.
  4. Домашняя юридическая энциклопедия. Семья / ред. И.М. Кузнецова. — М.: Олимп, 2016. — 608 c.
Сертификат открытого ключа электронной подписи
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here